Malware "Skeleton Key": Bypass na Autenticação de Sistemas Active Directory (AD)

Através de um trabalho bastante aprimorado, os pesquisadores da Dell SecureWorks Counter Threat Unit (CTU) descobriram a existência de um malware que é capaz de dar um bypass na autenticação em sistemas Active Directory (AD), que sejam protegidos apenas por senhas. Apelidado de "Skeleton Key", os pesquisadores descobriram que este malware, em uma "client network", usou autenticação de fator único para o acesso a webmail e VPN - dando o total acesso aos cybercriminosos em relação aos serviços, a partir do uso de acesso remoto. De acordo com a CTU, o malware requer que um atacante tenha credenciais de administrador de domínio, a fim de ser implantado. Em face disso, tem sido observado que a praga está sendo usada por crackers que roubaram credenciais de servidores críticos, estações de trabalho dos administradores e controladores de domínio de destino.


De acordo com Don Smith, diretor de tecnologia da CTU, o que aumenta o alarme sobre o malware "Skeleton Key" é que ele permite que o adversário possa fazer a autenticação, trivialmente, como qualquer usuário, usando sua "injected password" (a senha para acesso, no caso); isso poderia dar-lhes acesso ao webmail do alvo ou a VPN. Conseqüentemente, os criminosos podem ter acesso a e-mails e arquivos de rede da vítima. Esta atividade se parece - e é - a atividade do usuário final normal, então as chances do atacante levantar qualquer suspeita é extremamente baixa; é exatamente essa característica que torna este malware particularmente furtivo.


Saiba Mais:

[1] Security Week http://www.securityweek.com/skeleton...ion-ad-systems